在Cisco IOS上阻止Skype

Question

我正试图通过策略路由阻止skype，但它不起作用.这是我的配置：

class-map match-any block
 match protocol skype

policy-map QoS-Priority-Input
class block
    police 1000000 31250 31250 conform-action drop  exceed-action drop  violate-action drop 

policy-map QoS-Priority-Output
class block
    police 1000000 31250 31250 conform-action drop  exceed-action drop  violate-action drop 

interface FastEthernet4
 description WAN
 service-policy input QoS-Priority-Input
 service-policy output QoS-Priority-Output

Answer 1

match protocol skype将只与Skype协议v1匹配。

该协议的v2非常擅长于寻找绕过任何块的方法--例如，如果有必要，它将简单地使用HTTPS。

这里很好地描述了如何通过强制它使用HTTPS来阻止它，然后使用DPI来检查和阻止Skype HTTPS的通信量。

http://www.scribd.com/doc/28067970/Blocking-Skype-Using-IOS

Answer 2

如果Skype的行为类似于许多P2P协议，那么最好将它分配给最小的带宽分配，而不是直接阻止它。当面对一个完整的区块，他们倾向于谈判新的港口，但面对一个非常堵塞的通道，他们留在那里。